762      iPhone_iPad_Mac_手機_平板_蘋果apple

WAF排錯手冊__排錯手冊_Web 應用防火牆-阿裏雲

當發現接入Web應用防火牆的域名出現訪問異常時。可以通過本文的工具或者思路確定可能存在的問題。

一、常見排錯工具

1.Chrome瀏覽器——開發者工具: Chrome瀏覽器自帶開發者工具。按F12打開工具，切換至Network標簽。可以方便查看頁麵元素加載情況。

2.ping： Windows、linux操作係統自帶的網絡測試工具，可以很好地幫助我們分析和判定網絡故障。Windows係統按ctrl+R，輸入CMD打開工具。用法“ping 域名/IP”

3.traceroute（linux）/tracert（windows）：鏈路追蹤工具，可以檢測丟包在哪一跳.Windows係統按ctrl+R，輸入CMD打開工具。用法“tracert -d 域名/IP”

4.nslookup:用於檢測域名解析的工具，可以檢查域名解析是否生效。Windows係統按ctrl+R，輸入CMD打開工具。用法 “nslookup 域名”

5.17測網站： https://www.17ce.com ，可以探測全國訪問質量、DNS解析、和丟包情況

二、旁路Web應用防火牆，排查是否為源站問題

1.如果源站有安全組或黑白名單、防火牆、安全狗、雲鎖等設備，先全部禁用，防止WAF回源IP被拉黑（這經常發生）

2.修改本地hosts文件，將該域名指向對應的ecs/slb/服務器公網ip（即WAF上填寫的源站IP地址）

3.查看不經過Web應用防火牆是否能複現問題

三、關閉攔截功能，查看是否是誤攔截

1.登陸Web應用防火牆控製台

2.找到有問題的域名，點擊“防護配置”，關閉“Web應用攻擊防護”，查看問題是否繼續。

如果問題消失，建議調整防護規則為寬鬆。或者手工分析出有問題的url，在精確訪問控製，添加一個新規則，將URL加白

（精確訪問控製手冊：https://help.aliyun.com/document_detail/42780.html ）

3.如果還有問題，關閉“CC安全防護”，查看問題是否繼續

如果問題消失，建議CC安全防護為正常模式。或者手工分析出有問題的url或IP，在精確訪問控製，添加一個新規則，將URL或IP加白

（精確訪問控製手冊：https://help.aliyun.com/document_detail/42780.html ）

四、常見問題

說明：如果不經過Web應用防火牆問題就消失，而通過Web應用防火牆，問題穩定複現，可以按照以下方式排查：

場景一：訪問被405阻斷

現象：

出現405阻斷頁麵，或者HTTP返回碼為405

原因：

1.出現405阻斷頁麵的可能有兩個：

①被精確訪問控製阻斷

②被Web應用攻擊防護規則阻斷

解決方案：

登陸Web應用防火牆控製台：https://yundun.console.aliyun.com/#/waf/main
找到有問題的域名，點擊“防護配置”，關閉精確訪問控製開關，查看是否還有405頁麵。如果不再出現，即為您所配置的規則誤攔截，需要您找到對應規則並刪除
如果關閉精確訪問控製開關問題仍然存在。找到有問題的域名，點擊“防護配置”，關閉“Web應用攻擊防護”，查看問題是否繼續。如果問題消失，建議調整防護規則為寬鬆。或者手工分析出有問題的url，在精確訪問控製，添加一個新規則，將URL加白（精確訪問控製手冊：https://help.aliyun.com/document_detail/42780.html ）

場景二：某些IP訪問網站顯示被重置或者訪問被302 set-cookie

現象：

①出現連接被重置②或response返回302同時請求被set-cookie

原因：

①IP訪問觸發了CC防禦規則

解決方案：

登陸Web應用防火牆控製台：https://yundun.console.aliyun.com/#/waf/main
找到對應域名，點擊**防護配置**，關閉**CC安全防護**，再次訪問看是否恢複。
如果關閉防護後，恢複正常，說明是CC防護規則誤攔。可以：
在精確訪問控製，對訪問的URL或者IP加白
如果原來的防護規則為“攻擊緊急”調整CC安全防護 防護模式為：正常

場景三：客戶端訪問https出現問題

現象：

①https請求返回證書為“www.notexist.com”

原因：

①Web防火牆需要瀏覽器支持SNI。一般蘋果係統原生支持sni。而Windows、Android係統需要做SNI兼容。

解決方案：

查看：https://help.aliyun.com/document_detail/43742.html

場景四：訪問出現白屏

現象：

①網站顯示白屏，同時HTTP返回碼是502

原因：

①當源站（指ECS、SLB或服務器）出現丟包或者不可達的時候，Web防火牆會返回白屏

解決方案：

檢查源站是否有黑名單、iptables、防火牆、安全狗、雲鎖等安全軟件或策略，如果有，停用（或卸載）並清空黑名單後再嚐試
參照第二部分中的方法，繞過WAF去訪問，看是否正常，如果也無法正常訪問，可檢查下源站的進程、CPU、內存、web日誌等是否有異常

場景五:域名ping不通，同時收到短信說WAF被DDoS，進入了黑洞

現象：

①域名ping不通，同時收到短信說WAF被DDoS，進入了黑洞

原因：

①流量DDoS不在Web應用防火牆（WAF）防護範圍

解決方案：

受到DDoS攻擊，請購買高防IP： https://www.aliyun.com/product/ddos

場景六：後端多台服務器負載不均

現象：

①Web防火牆使用四層IP哈希，高防串聯Web應用防火牆時，ECS可能出現負載不均

②SLB使用四層轉發時，ECS可能出現負載不均

解決方案：

Web應用防火牆和ECS直接使用SLB負載均衡，使用7層轉發，並打開cookie會話保持或負載均衡

場景七：微信或支付寶回調失敗

現象：

①微信或支付寶回調失敗

原因：

①可能是高頻訪問被CC攔截

②使用https方式回調，且微信和支付寶不支持sni（什麼是sni？：https://help.aliyun.com/document_detail/43742.html ）

解決方案：

登陸Web應用防火牆控製台：https://yundun.console.aliyun.com/#/waf/main
找到對應域名，點擊**防護配置**，關閉**CC安全防護**，再次訪問看是否恢複。
如果關閉防護後，恢複正常，說明是CC防護規則誤攔。可以：
在精確訪問控製，對訪問的URL或者IP加白
或者調整CC安全防護 防護模式為：正常
如果是SNI問題，以上解決方案無效。需要讓微信或支付寶直接調用ecs或者slb ip，不要過Web應用防火牆

最後更新：2016-11-24 11:23:49

  上一篇： WordPress反彈攻擊__攻擊防護_Web 應用防火牆-阿裏雲

  下一篇： 405錯誤___排錯手冊_Web 應用防火牆-阿裏雲